Azure SQL: la sicurezza dei dati nel cloud

Posted by danieleperugini on Wednesday, February 28, 2024

Azure SQL: la sicurezza dei dati nel cloud

In questo articolo parleremo di sicurezza, applicata ad Azure SQL. Nel precedente post infatti, abbiamo visto come l’intelligenza artificiale sia stata usata estesamente da attori di minacce informatiche a livello globale. E ci siamo lasciati con un punto interrogativo: come difendere i propri sistemi in cloud?

Adesso vedremo quali sono alcune best practice a livello generale, e scenderemo nel dettaglio di Azure SQL andando a vedere quali sistemi di sicurezza mette a disposizione per la protezione dei dati.

5 princìpi generali per la difesa dei sistemi informatici

In un report sviluppato da Microsoft sulla difesa digitale 2023, troviamo dei princìpi generali, utili per proteggersi da gran parte degli attacchi informatici. 

Alcuni di questi punti mi hanno colpito, perché mettono in risalto come tramite una buona gestione del cloud, del ciclo di sviluppo delle applicazioni software e dei sistemi di gestione dei dati, sia possibile complicare molto la vita a chi voglia attaccare i sistemi informatici aziendali.

Ecco allora cinque consigli per mitigare possibili attacchi informatici alle aziende:

Abilitare l’Autenticazione Multi-Fattore: Questo strumento è fondamentale per proteggere le identità utente contro il rischio di password compromesse. La MFA aggiunge un livello di resilienza extra, rendendo più difficile per gli attaccanti accedere a sistemi e dati sensibili.

Applicare i Principi Zero Trust: Il cuore di un piano di resilienza è limitare l’impatto di un attacco. I principi di Zero Trust includono:

  • Verifica Esplicita: Assicurarsi che utenti e dispositivi siano in buono stato prima di concedere l’accesso alle risorse.

  • Accesso a Minimo Privilegio: Concedere solo il privilegio necessario per accedere a una risorsa e niente di più.

Usare sistemi di rilevamento esteso e risposta (XDR) e software antimalware: Implementare software per rilevare e bloccare automaticamente gli attacchi e fornire informazioni utili per la sicurezza. È fondamentale monitorare gli insight dai sistemi di rilevamento delle minacce per rispondere tempestivamente alle minacce.

Mantenere i Sistemi Aggiornati: Sistemi non aggiornati sono una delle principali cause di vulnerabilità. È essenziale mantenere tutti i sistemi aggiornati, inclusi firmware, sistemi operativi e applicazioni.

Proteggere i Dati: Conoscere i propri dati importanti, dove sono situati e se sono implementate le difese adeguate è cruciale per attuare una protezione appropriata. Le soluzioni in cloud rendono più semplice implementare tecniche di sicurezza di base, attivandole automaticamente o rendendo superflua la loro implementazione da parte degli utenti. Con soluzioni come SaaS e PaaS infatti, il provider cloud si assume una parte di responsabilità: in particolare quella legata agli aggiornamenti delle macchine e dei sistemi operativi sottostanti.

Proteggere i dati aziendali è un “must-have” di ogni azienda

Gli aspetti visti adesso sono a carico di attori diversi: ad esempio chi si occupa dell’amministrazione del cloud si prenderà carico degli aggiornamenti dei sistemi (laddove il servizio lo preveda), o del login multi fattore. Altri aspetti invece, vedono coinvolti i professionisti che come me, hanno a che fare con lo sviluppo di software e la gestione dei dati. Uno di questi punti, è la protezione dei dati tramite il principio di zero trust.

Il principio di Zero Trust è un modello di sicurezza che assume che le minacce possano provenire sia dall’interno che dall’esterno di una rete aziendale. Pertanto, invece di concentrarsi unicamente sulla protezione del perimetro della rete, il modello Zero Trust richiede una verifica di tutte le risorse, indipendentemente dalla loro posizione nella rete.

Il cloud necessita di un’attenzione particolare alla sicurezza…

Nel contesto del cloud e della data engineering, il principio di Zero Trust è fondamentale per la sicurezza dei dati e delle applicazioni. Con l’adozione del cloud infatti, i dati e le applicazioni non sono più confinati in un unico luogo fisico. E questo rende inutile l’approccio legato al “perimetro” aziendale.

Inoltre, nel cloud pubblico, le risorse sono condivise tra più clienti. Qui, la sicurezza dei dati e delle applicazioni diventa cruciale, poiché i dati transitano attraverso infrastrutture condivise. È fondamentale che i fornitori di servizi cloud offrano robuste misure di sicurezza. Ad esempio l’isolamento dei dati e criptazione, per proteggere le informazioni sensibili dei clienti.

Tuttavia, anche i clienti hanno una responsabilità non da poco: sono responsabili della sicurezza “nel” cloud. Questo include la sicurezza dei dati, le configurazioni di sicurezza delle applicazioni, la gestione delle identità e l’accesso, nonché il rispetto delle normative sulla privacy e protezione dei dati.

Quindi, quali sono alcuni passi necessari per aumentare la sicurezza dei dati aziendali, tanto più se contengono dati sensibili?

Vediamo come Azure SQL mette a disposizione molti strumenti per raggiungere questo obiettivo. Va però tenuto presente che i princìpi di sicurezza devono essere implementati su tutti i componenti dei sistemi informatici, non solo sui database aziendali.

Strumenti di Azure SQL per la sicurezza dei dati 

Encryption in transit: è un sistema che cripta i dati in movimento con il Transport Layer Security (TLS). Questi sistemi impongono la crittografia (SSL/TLS) in ogni momento per tutte le connessioni, assicurando che tutti i dati siano criptati “in transito” tra il client e il server.

Transparent data encryption: introduce un livello di sicurezza aggiuntivo per proteggere i dati a riposo da accessi non autorizzati ai file su disco. Questo mette al riparo da furti in data center o dallo smaltimento non sicuro di hardware o supporti di memorizzazione. TDE cripta l’intero database utilizzando un algoritmo di crittografia che non richiede agli sviluppatori di apportare modifiche alle applicazioni esistenti.

Always encrypted: è una funzionalità progettata per proteggere dati sensibili memorizzati in specifiche colonne del database da accessi non autorizzati. Ad esempio, numeri di carte di credito, numeri di identificazione nazionali/regionali o dati accessibili solo su base “need to know”. 

I dati sono sempre criptati, e vengono decriptati solo per l’elaborazione da parte di applicazioni client che hanno accesso alla chiave di crittografia. La chiave di crittografia non è mai esposta a SQL Database o SQL Managed Instance. Ma può essere memorizzata sia nel Windows Certificate Store che in Azure Key Vault.

Dynamic Data Masking: limita l’esposizione di dati sensibili oscurandoli per gli utenti non privilegiati. Funziona mascherando i dati sensibili nel set di risultati di una query su campi designati del database, mentre i dati nel database non vengono modificati. 

Autenticazione: L’autenticazione è il processo mediante il quale si verifica che l’utente sia chi afferma di essere. In Azure SQL è possibile autenticarsi tramite username e password oppure sfruttando l’identità gestita da Microsoft Entra ID.

Autorizzazione: si riferisce al controllo dell’accesso alle risorse e ai comandi all’interno di un database dopo che l’utente è stato autenticato. Ciò si ottiene assegnando permessi a un utente o ad un ruolo, all’interno di un database. La raccomandazione è quella di seguire il principio del minimo privilegio: concedere solo i privilegi strettamente necessari!

Row-Level Security (Sicurezza a Livello di Riga): consente di controllare l’accesso alle righe in una tabella di un database.

Auditing: traccia le attività del database e permette di analizzare e indagare su attività storiche. L’obbiettivo è di identificare potenziali minacce o abusi sospetti e violazioni della sicurezza. 

Advanced Threat Protection: analizza i log per rilevare comportamenti insoliti e tentativi potenzialmente dannosi di accedere o sfruttare i database. Vengono creati allarmi per attività sospette come l’iniezione SQL, la potenziale infiltrazione di dati e gli attacchi brute force. O per anomalie nei modelli di accesso per individuare escalation di privilegi e l’uso di credenziali violate. Gli allarmi possono essere visualizzati dal Microsoft Defender per il Cloud.

la sicurezza è un concetto fondamentale ed articolato su diversi approcci, anche su Azure SQL

Improvvisare non è sostenibile

Abbiamo visto che nell’ambito della sicurezza informatica, l’improvvisazione non solo è inadeguata, ma può anche essere pericolosa. La complessità crescente degli attacchi informatici e le sfide poste dalle nuove tecnologie richiedono un approccio professionale e sistematico, e che coinvolge figure differenti all’interno dell’azienda.

Questo approccio include una corretta gestione dei dati aziendali, figlia di una “cultura del dato” aziendale profonda e condivisa.

Per cui, oltre ad affidarsi a professionisti esperti, perché non formare anche il personale aziendale promuovendo la criticità della sicurezza dei dati in azienda? 

Sicuramente i risultati varranno lo sforzo con buona pace e tranquillità di tutta l’azienda.

Alla prossima informazione!

IL MIO LIBRO: WHY YOUR DATA MATTER

Il libro dedicato ai manager e CIO che hanno a cuore i dati della propria azienda e vogliono avere sonni tranquilli (anticipando problematiche poco piacevoli legate al recupero, alla gestione o alla sicurezza dei dati)

Leggi il libro

REGISTRATI ALLA NEWSLETTER

Una piccola newsletter su data, azure e AI.

Dicono di me

Ricordo ancora bene cosa mi spinse a coinvolgerlo per la prima volta. Oltre che a trasmettermi competenza ed affidabilità, Daniele mi è sembrato fin da subito propenso a mettersi in gioco e a fare squadra con Fapim. Ho percepito in maniera marcata che questa persona avrebbe fatto suo il problema e avrebbe cercato di risolverlo concretamente.

(Leggi la testimonianza completa)

Fapim S.p.a.Ombretta Pacini, responsabile comunicazione e immagine aziendale
È orbitando nell’area Microsoft che abbiamo conosciuto Daniele. Abbiamo iniziato a collaborarci nel 2016 in un momento nel quale, dopo aver introdotto in azienda la metodologia di Agile grazie ad un lungo periodo di formazione interna su questo argomento, iniziavamo a metterla in pratica su nuovi progetti e necessitavamo di Project Manager e Team Leader con esperienza.

(Leggi la testimonianza completa)

Vivido S.r.l.Claudio Menzani, Paolo Ciccioni
Ho conosciuto Daniele grazie ad una sua ex collega che mi ha parlato molto bene di lui e dei suoi servizi di consulenza e collaborazione nel campo della consulenza. Mi ha spinta a rivolgermi a Daniele la sua preparazione, professionalità e disponibilità.

(Leggi la testimonianza completa)